[index]
CentreCOM FS900Mシリーズ コマンドリファレンス 1.6.0
スイッチング/概要・基本設定
- ポートの指定方法
- 基本コマンド
- ポートトランキング
- ポートミラーリング
- 基本設定
- ポートセキュリティー
- パケットストームプロテクション
- ループガード
- LDF検出
- 受信レート検出
本製品のスイッチポートは、ご購入時の状態ですべてイネーブルに設定されており、互いに通信可能な状態にあります。スタンドアローンのレイヤー2スイッチとして使う場合、特別な設定は必要ありません。設置・配線を行うだけで使用できます。
スイッチポートに対する設定コマンドには、複数のポートを一度に指定できるものがあります。
■ 1つのポートを指定
■ 連続するポート番号をハイフン区切りで指定
■ 連続していないポート番号をカンマ区切りで指定
■ カンマとハイフンの組み合わせ指定
■ すべてのポートを意味するALLを指定
RESET SWITCH PORT=ALL COUNTER ↓
スイッチポートに対して操作を行う基本的な設定コマンドを紹介します。詳細は各コマンドの説明をご覧ください。
■ ポートを有効にするには、ENABLE SWITCH PORTコマンドを使います。
■ ポートを無効にするには、DISABLE SWITCH PORTコマンドを使います。
■ ポートの通信モード(通信速度とデュプレックスモード)を変更するには、SET SWITCH PORTコマンドのSPEEDパラメーターを使います。デフォルトはAUTONEGOTIATEです。
SET SWITCH PORT=2 SPEED=100MHALF ↓
■ コンボ(共用)ポートの設定を変更するには、SET SWITCH PORTコマンドのCOMBOパラメーターを使います。FS909M(-PS)は9番ポート、FS917M(-PS)は17番ポート、FS926M(-PS)は25〜26番ポートがコンボポートです。デフォルトはFIBERAUTOです。
SET SWITCH PORT=9 COMBO=FIBER ↓
■ デフォルトでは、すべてのポートでMDI/MDI-X自動切り替えが有効になっています。MDI/MDI-X自動切り替えを無効にするには、DISABLE SWITCH PORT AUTOMDIコマンドを実行します。
DISABLE SWITCH PORT=1 AUTOMDI ↓
Note
- コンボポートでは、MDI/MDI-X自動切替有効/無効コマンド(DISABLE SWITCH PORT AUTOMDIコマンドおよびENABLE SWITCH PORT AUTOMDIコマンド)は使用できません。
■ MDI/MDI-X自動切り替えを無効にした直後のポートは、現在設定されているMDI/MDI-Xの状態にしたがいます(デフォルトは、MDI-X)。MDI/MDI-Xを変更するには、SET SWITCH PORTコマンドのPOLARITYパラメーターを使います。
SET SWITCH PORT=1 POLARITY=MDI ↓
Note
- コンボポートでは、MDI/MDI-Xの設定を変更することはできません。
■ 強制的にオートネゴシエーションを行わせるには、ACTIVATE SWITCH PORT AUTONEGOTIATEコマンドを使います。通信モードがAUTONEGOTIATEのポートでのみ有効です。
ACTIVATE SWITCH PORT=8 AUTONEGOTIATE ↓
■ ポートをハードウェア的にリセットするには、RESET SWITCH PORTコマンドを使います。
■ ポートの状態を確認するには、SHOW SWITCH PORTコマンドを使います。
■ ポートの送受信の統計情報を確認するには、SHOW SWITCH PORT COUNTERコマンドを使います。
SHOW SWITCH PORT=7 COUNTER ↓
■ ポートの統計カウンターをクリアするには、RESET SWITCH PORTコマンドにCOUNTERオプションを指定して実行します。COUNTERオプションを省略すると、ポートがハードウェア的にリセットされてしまうので注意してください(カウンターもクリアされます)。
RESET SWITCH PORT=ALL COUNTER ↓
ポートトランキングは複数の物理ポートを束ねてスイッチ間の帯域幅を拡大する機能です。束ねたポートはトランクグループと呼ばれ、論理的に1本のポートとして扱われます。トランクグループは、VLAN内でも単一ポートとして認識されます。また、トランクグループ内のポートに障害が発生しても残りのポートで通信が継続できるため、信頼性を向上します。
FS909M(-PS)、FS917M(-PS)ではトランクグループを2つまで、FS926M(-PS)では10BASE-T/100BASE-TXポートで2グループ+ギガビットポートで1グループの3グループまで作成できます。それぞれのトランクグループには、最大4ポートまで所属させることが可能です。ポートは隣接していなくてもかまいません。
ポートトランキングの仕様は、次のとおりです。
- 他のトランクグループに所属するポートは指定できません。
- ポートセキュリティーが有効なポート、ミラーポート、ポート認証のAuthenticatorポートとSupplicantポートはトランクグループに所属させることができません。
- トランクポートは同じVLANに所属している必要があります。
- トランクポートをSTP有効にする場合、トランクグループのすべてのポートを指定する必要があります。
- コンボ(共用)ポートとコンボポート以外のポートを、同一のトランクグループに所属させることはできません。(FS909M(-PS)は9番ポート、FS917M(-PS)は17番ポート、FS926M(-PS)は25〜26番ポートがコンボポート)
- コンボポートでポートトランキングを使用する場合は、コンボポートの設定(SET SWITCH PORTコマンドのCOMBOパラメーターで設定)が、SFPポートのみ使用可(FIBER)、または、1000BASE-Tポートのみ使用可(COPPER)の設定にしてください。また、コンボポート同士は、同じ設定にしてください。
- トランクグループは、すべて同一メディアタイプのポートで構成してください。たとえば、トランクグループ内に1000BASE-SXポートと1000BASE-LXポートを混在させるような構成はサポート対象外です。
- LDF検出が有効なポートと無効なポートは同じトランクグループに所属させることができません。
- 受信レート検出が有効なポートと無効なポートは同じトランクグループに所属させることができません。
- トランクポートをMLD Snoopingのルーターポートに設定する場合は、トランクグループのすべてのポートをルーターポートに設定してください。
ポートトランキングを使用するために最低限必要な設定について説明します。
コンボポート以外のポートの設定手順は下記のとおりです。ここでは、ポート1-4を束ねて使用するものとします。
- トランクグループ「uplink」を作成します。グループ名は任意に指定できます。
CREATE SWITCH TRUNK=uplink ↓
- トランクグループにポートを追加します。束ねるポートはあらかじめ同じVLANに所属させておく必要があります。
ADD SWITCH TRUNK=uplink PORT=1-4 ↓
Note
- SPEEDパラメーター、PORTパラメーターを省略してトランクグループを作成すると、トランクグループの通信速度は100Mになります。トランクグループにコンボポートを追加したい場合は、トランクグループの通信速度を1000Mに変更してください。
基本設定は以上です。
Note
- トランクグループにポートを追加した後で、グループ全体あるいはグループ内のポートを所属VLANから削除することはできません。VLANから削除するには、DELETE SWITCH TRUNKコマンドを使ってあらかじめポートをトランクグループから外しておく必要があります。
Note
- ポートトランキングの設定は、トランクポートによって接続される双方のスイッチで行う必要があります。
Note
- ポートトランキング、スパニングツリープロトコル、ループガード、これらすべての機能を同時に使用することはできません。
■ トランクグループの情報はSHOW SWITCH TRUNKコマンドで確認できます。
SHOW SWITCH TRUNK=uplink ↓
■ トランクグループを通るパケットはすべて、トランキングアルゴリズムによって割り振られます。このアルゴリズムは、送信元アドレスと宛先アドレスと接続ポート数によって計算します。
■ トランクグループに追加されたポートの通信モードは、CREATE SWITCH TRUNKコマンド、または、SET SWITCH TRUNKコマンド指定した速度となります。個別ポートの設定はトランクグループに追加した時点で上書きされます。
■ トランクグループからポートを削除するにはDELETE SWITCH TRUNKコマンドを使います。
DELETE SWITCH TRUNK=uplink PORT=4 ↓
■ トランクグループを削除するにはDESTROY SWITCH TRUNKコマンドを使います。所属ポートがあるときは削除できません。その場合は、先にDELETE SWITCH TRUNKコマンドで所属ポートを削除します。
DELETE SWITCH TRUNK=uplink PORT=ALL ↓
DESTROY SWITCH TRUNK=uplink ↓
Note
- ポートトランキング、スパニングツリープロトコル、ループガード、これらすべての機能を同時に使用することはできません。
ポートミラーリングは、特定のポートを通過するトラフィックをあらかじめ指定したミラーポートにコピーする機能です。パケットを必要なポートにだけ出力するスイッチではパケットキャプチャーなどが困難ですが、ポートミラーリングを利用すれば、任意のポートのトラフィックをミラーポートでキャプチャーできます。
なお、本製品でのポートミラーリング機能の仕様は次のとおりです。
- ミラーポートには1ポート指定できます。ソースポートは複数指定できます。
- VLAN default以外に所属しているポート、トランクグループに所属しているポート、およびタグ付きポートはミラーポートに設定できません
- STP有効ポート、ポートセキュリティーが有効なポート、ポート認証のAuthenticatorポートとSupplicantポートはミラーポートに設定できません。
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- SET SWITCH MIRRORコマンドでミラーポートの設定を行いますが、すでに別のポートがミラーポートとして設定されていた場合、先に設定されていたポートはミラーポートでなくなり、VLAN default所属のタグなしポートとなります。ミラーポートになったポートは、どのVLANにも所属しません。
ここではポート1をミラーポートに設定し、ポート5から送受信されるトラフィックがミラーポートにコピーされるように設定します。
- ミラーポートを指定します。指定できるのはVLAN default所属のポートだけです。ミラーポートに指定したいポートがVLAN default以外に所属している場合は、最初に現在所属のVLANから削除しVLAN defaultの所属に戻した上で、SET SWITCH MIRRORコマンドを実行します。
DELETE VLAN=somevlan PORT=1 ↓
SET SWITCH MIRRORコマンドを実行すると、指定ポートはミラーポートとして設定され、どのVLANにも属していない状態となります。
すでにミラーポートとして設定されているポートがあった場合、本コマンド実行によりそのポートはVLAN default所属のタグなしポートとなります。
Note
- ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。
- ソースポートとトラフィックの向きを指定します。ここではポート5から送受信されるトラフィックをミラーポートにコピーします。
SET SWITCH PORT=5 MIRROR=BOTH ↓
- ポートミラーリング機能を有効にします。あらかじめミラーポートおよびソースポートが設定されていないと本コマンドは失敗します。手順1、2にしたがってミラーポートとソースポートを指定してから本コマンドを実行してください。
設定は以上です。
■ ポートミラーリングの設定を確認するにはSHOW SWITCHコマンドおよびSHOW SWITCH MIRRORコマンドを実行します。ミラーポートはSHOW VLANコマンドの「Mirror Port」欄でも確認できます。また、ソースポートとミラー対象トラフィックはSHOW SWITCH PORTコマンドの「Mirroring」および「Is this port mirror port」欄でも確認できます。
■ ポートミラーリング機能を無効にするにはDISABLE SWITCH MIRRORコマンドを実行します。
■ ミラーポートの設定を解除するにはSET SWITCH MIRRORコマンドにNONEを指定します。設定を解除されたポートはVLAN default所属のタグなしポートに戻ります。
■ ソースポートのミラーリングを行わないようにするにはSET SWITCH PORTコマンドのMIRRORパラメーターにNONEを指定します。
SET SWITCH PORT=5 MIRROR=NONE ↓
■ ミラーポートに設定されたポートは通常のスイッチポートとしては機能しません。SET SWITCH MIRRORコマンドを実行した時点で、ミラーポートはいずれのVLANにも所属していない状態となります。
■ ソースポートが2ポート以上設定されていて、タグなしポートとタグ付きポートが含まれている場合、ミラーポートではタグなしパケットが出力されます。ソースポートがタグ付きポートのみの場合、タグ付きパケットが出力されます。
ポートセキュリティーは、MACアドレスに基づき、ポートごとに通信を許可するデバイスを制限する機能です。許可していないデバイスからフレームを受信したときには、パケットを破棄します。
本機能は、SET SWITCH PORTコマンドのSECURITYMODEパラメーターでセキュリティーモードを設定することによって有効になります。SET SWITCH PORTコマンドのSECURITYMODEパラメーターで設定できるのは、次の4種類のモードです。
表 1
| モード |
説明 |
| AUTOMATIC |
通常の学習モード(セキュリティーモード無効)。 |
| DYNAMIC |
学習済みのMACアドレスが制限値に達すると学習機能を停止する。学習されたMACアドレスは、ダイナミックMACアドレスとして扱われ、エージングによって削除される(Dynamic Limitedモード)。学習可能なMACアドレスの最大数は、LEARNパラメーターで設定。 |
| LIMITED |
学習済みのMACアドレスが制限値に達すると学習機能を停止する。学習されたMACアドレスは、スタティックMACアドレスとして扱われ、エージングによって削除されない(Limitedモード)。学習可能なMACアドレスの最大値は、LEARNパラメーターで設定。 |
| SECURED |
学習機能を停止し、それまでに学習済みのMACアドレスをスタティックエントリーとし、セキュリティーモードとなる。(Secureモード) |
Note
- ポートセキュリティーが有効なポートは、トランクグループに所属させることができません。
Note
- ポートセキュリティーが有効なポートは、ミラーポート、ポート認証のAuthenticatorポートに設定することはできません。
Note
- ポートセキュリティーが有効なポートではスパニングツリープロトコルは使用できません。
Note
- ポートセキュリティー(Dynamic Limitedモード)が有効なポートにはスタティックエントリーは登録できません。
Note
- ポートセキュリティー(Limitedモード)が有効なポートではLDF検出は併用できません。
■ ポートに、Dynamic Limitedモードのポートセキュリティーを設定するには、SET SWITCH PORTコマンドの SECURITYMODEパラメーターを使います。たとえば、ポート11のMACアドレス学習数の上限を20個に設定するには次のようにします。
SET SWITCH PORT=11 SECURITYMODE=DYNAMIC LEARN=20 ↓
セキュリティーモードにDynamic Limitedモードを設定すると、すでに同ポートで学習していたアドレスエントリー(ダイナミックエントリー)がフォワーディングデータベースから削除され、エントリーなしの状態からアドレス学習が開始されます。
セキュリティーモードをSecureモードからDynamic Limitedモードに変更すると、すでに同ポートに登録されていたスタティックエントリーは削除されます。
また、ポートセキュリティーがDynamic Limitedモードの場合、学習済みのMACアドレスが制限値に達した後で受信した、未学習の送信元MACアドレスを持つフレームを不正なものとみなし破棄します。
■ ポートに、Limitedモードのポートセキュリティーを設定するには、SET SWITCH PORTコマンドの SECURITYMODEパラメーターを使います。たとえば、ポート11のMACアドレス学習数の上限を20個に設定するには次のようにします。
SET SWITCH PORT=11 SECURITYMODE=LIMITED LEARN=20 ↓
セキュリティーモードにLimitedモードを設定すると、すでに同ポートで学習していたアドレスエントリー(ダイナミックエントリー)がLEARNパラメーターで設定された数だけスタティック登録され、設定値を超えた分のダイナミックエントリーがフォワーディングデータベースから削除されます。
セキュリティーモードをSecureモードからLimitedモードに変更しても、すでに同ポートに登録されていたスタティックエントリーは削除されません。
また、ポートセキュリティーがLimitedモードの場合、学習済みのMACアドレスが制限値に達した後で受信した、未学習の送信元MACアドレスを持つフレームを不正なものとみなし破棄します。
■ ポートに、Secureモードのポートセキュリティーを設定するには、SET SWITCH PORTコマンドの SECURITYMODEパラメーターを使います。
SET SWITCH PORT=12 SECURITYMODE=SECURED ↓
■ ポートセキュリティー機能を無効にするにはSET SWITCH PORTコマンドのSECURITYMODEパラメーターをAUTOMATICにします。
Secureモードまたは、Limitedモードを設定して、スタティックエントリーとなった学習済みのアドレスは削除されます。
SET SWITCH PORT=8 SECURITYMODE=AUTOMATIC ↓
■ 学習済みのアドレスを確認するには、SHOW SWITCH FDBコマンドを使います。ポートセキュリティーがオンのポートで学習されたアドレスは、「Status」欄に「Static」と表示されます。
SHOW SWITCH FDB ↓
SHOW SWITCH FDB PORT=7 ↓
■ ポートセキュリティーの設定状況はSHOW SWITCH PORTコマンドのSECURITYパラメーターを指定することで確認できます。
SHOW SWITCH PORT=7 SECURITY ↓
■ ポートセキュリティー(Secureモード)が有効なポートに対して、通信を許可するアドレスを手動登録するには、ADD SWITCH FILTERコマンドを使って、スタティックMACアドレスを登録します。
ADD SWITCH FILTER DESTADDRESS=00-00-f4-ab-cd-ef PORT=10 ↓
■ スタティックエントリーの削除はDELETE SWITCH FILTERコマンドで行います。
DELETE SWITCH FILTER PORT=1 DESTADDRESS=00-00-f4-ab-cd-ef ↓
■ ポートセキュリティーの設定(セキュリティーモードに関する設定)はCREATE CONFIGコマンドによって保存されます。Secureモードを設定して、スタティックエントリーとなった学習済みのアドレスも保存されます。このスタティックエントリーを削除するには、一度Secureモード以外のモードを設定するかDELETE SWITCH FILTERコマンドを使用します。
パケットストームプロテクションは、ブロードキャスト/マルチキャスト/未学習のユニキャストフレームの受信レートに上限を設定し、パケットストームを防止するための機能です。設定値を上回るレートでこれらのフレームを受信した場合、フレームは破棄されます。本機能はデフォルトではオフになっています。
制限できるのは以下のフレームです。
- ブロードキャストフレーム
- マルチキャストフレーム
- 未学習のユニキャストフレーム
■ 受信レートはSET SWITCH LIMITATIONコマンドで設定し、有効/無効の設定はSET SWITCH PORTコマンドで行います。ここでは、ポート1〜8に対して、ブロードキャストフレームの受信レートの設定を有効とし、受信レートを10240kbpsに制限します。
SET SWITCH PORT=1-8 BCLIMIT=ON ↓
SET SWITCH LIMITATION=10240 ↓
■ 受信レートの制限を解除するには次のようにします。
SET SWITCH PORT=1-8 BCLIMIT=OFF ↓
■ パケットストームプロテクションの設定状況はSHOW SWITCH PORTコマンドで確認できます。「Broadcast rate limit」、「Multicast rate limit」、「DLF rate limit」をご覧ください。
Note
- ADD SWITCH FILTERコマンドで指定したマルチキャストMACアドレスがパケットストームプロテクションの対象になります。
本製品ではループガードとして以下の2つをサポートしています。
ループ検出したポート番号をログ、トラップで管理者に通知することにより、ループの原因特定、対策が容易になります。設定方法については、「運用・管理」/「ログ」、「運用・管理」/「SNMP」をご覧ください。
Note
- ポートトランキング、スパニングツリープロトコル、ループガード、これらすべての機能を同時に使用することはできません。
Note
- ポートセキュリティーのLimitedモードに設定されたポート、ポート認証のAuthenticatorポートではLDF検出は併用できません。
LDF(Loop Detection Frame)とは、特殊な宛先MACアドレス(00-00-F4-27-71-01)を持った試験フレームです。
LDF検出機能を有効にしたポートでは、一定時間ごとにLDFを送出します。
他の接続機器を介して機器にLDFが戻って来る場合、LDFの送信元MACアドレスと機器自身のMACアドレスが一致し、かつLDF検出機能が有効なスイッチポート番号がLDFに記録された情報と一致すると、ループ状態と判断されます。
Note
- ミラーリングポート、タグ付きポート、ポートセキュリティーが有効なポートでは、すべてまたは指定以外の受信フレームは破棄されるため、本機能を併用することはできません。
Note
- ポートトランキングに対してLDF検出機能を有効にする場合は、トランクグループの全ポートのLDF検出機能を有効に設定する必要があります。
Note
- フローコントロールとは併用できません。
LDFが検出されたポートに対し、以下のアクションのうちいずれかを行います。
- ポートをディセーブルにする。
- ポートをリンクダウンする。
- ポートのブロードキャストフレームのみ、受信を止める。
- 何もしない。
アクション実行後は、タイマーが起動し、指定した時間が経過するとアクション実行前の状態に戻ります。
■ ポート2のLDF検出機能を有効にするにはENABLE SWITCH LOOPDETECTIONコマンドを使用します。
ENABLE SWITCH LOOPDETECTION PORT=2 ↓
■ ポート2のLDF送出間隔を1秒、LDF検出時のアクションをBCDISCARD(ブロードキャストパケットを破棄する)、アクションからの復帰時間を1時間に設定するにはSET SWITCH LOOPDETECTIONコマンドを使用します。
SET SWITCH LOOPDETECTION PORT=2 INTERVAL=1 ACTION=BCDISCARD BLOCKTIMEOUT=3600 ↓
■ ポート2のLDF検出機能の設定情報を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION PORT=2 CONFIG ↓
■ ポート2のLDF検出機能の状態を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION PORT=2 STATUS ↓
■ ポート2のLDF検出機能のカウンターの情報を表示するにはSHOW SWITCH LOOPDETECTIONコマンドを使用します。
SHOW SWITCH LOOPDETECTION PORT=2 COUNTER ↓
受信レート検出機能を有効にしたポートでは、一定時間ごとに受信レートを算出し、指定されたしきい値と比較して、しきい値を超えた場合にループ状態と判断されます。
受信レートは1ポートにつき、2レベル(LOWRATE、HIGHRATE)設定できます。各レベルに対して、受信レートしきい値とアクションを設定できます。
受信レートがしきい値を越えたポートに対し、以下のアクションのうちいずれかを行います。
- ポートをディセーブルにする。
- ポートをリンクダウンする。
- ポートのブロードキャストフレームのみ、受信を止める。
- 何もしない。
アクション実行後は、タイマーが起動し、指定した時間が経過するとアクション実行前の状態に戻ります。
■ ポート2の受信レート検出機能を有効にするにはENABLE SWITCH STORMDETECTIONコマンドを使用します。
ENABLE SWITCH STORMDETECTION PORT=2 ↓
■ ポート2の高レートのしきい値を1024000Kbps、アクションをBCDISCARD(ブロードキャストパケットを破棄する)に設定するにはSET SWITCH STORMDETECTIONコマンドを使用します。
SET SWITCH STORMDETECTION PORT=2 HIGHRATETHRESHOLD=1024000 HIGHRATEACTION=BCDISCARD ↓
■ ポート2の受信レート検出機能の設定情報を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。
SHOW SWITCH STORMDETECTION PORT=2 CONFIG ↓
■ ポート2の受信レート検出機能の状態を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。
SHOW SWITCH STORMDETECTION PORT=2 STATUS ↓
■ ポート2の受信レート検出機能のカウンターの情報を表示するにはSHOW SWITCH STORMDETECTIONコマンドを使用します。
SHOW SWITCH STORMDETECTION PORT=2 COUNTER ↓
(C) 2006-2008 アライドテレシスホールディングス株式会社
PN: 613-000325 Rev.F